Cтандарт ЦБ РФ ранее был основополагающим для банков при обеспечении безопасности не только персональных данных, но и всех информационных систем. При этом банк мог либо принять его, и тогда строить свои системы в соответствии с ним, либо отказаться, и «иметь дело» напрямую с требованиями ФСТЭК и ФСБ.
В новой, принятой депутатами, редакции статья 19 «Меры по обеспечению безопасности персональных данных при их обработке», претерпевшая наибольшие изменения, была существенно расширена. Но «демократичнее» не стала. Эксперты в области информационной безопасности оценили ее весьма критично. Инициативной группой было в срочном порядке, уже в 11 утра 6 июля, написано открытое письмо к президенту Дмитрию Медведеву с просьбой не принимать законопроект в данной редакции.
Одной из причин стало отсутствие поддержки в законопроекте отраслевых стандартов — требования могут формировать только ФСТЭК и ФСБ. Банк России в статье упоминается, но трактуют его роль эксперты неоднозначно. Одни говорят, что в случае вступления законопроекта в силу она никак не изменится, другие считают, что он сможет лишь дополнять требования ФСТЭК и ФСБ, но никак не влиять на них.
Пункт 5 статьи 19 в новой редакции гласит:
«Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки».
То есть угрозы Центробанк все же может именно определять, а не дополнять. А вот требования к защите персональных данных, организационные и технические меры по обеспечению безопасности персональных данных при их обработке устанавливаются уже «федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации». С ними же, согласно п. 7, Центробанку нужно будет согласовывать и нормативные акты, определяющие угрозы безопасности персональных данных.
Получается, что ФСТЭК и ФСБ играют все-таки определяющую роль и для банковской сферы. Однако однозначно трактовать закон пока сложно, и что делать банкам со стандартом ЦБ РФ, тоже не понятно. Посмотрим, прислушается ли к мнению профессионального сообщества президент РФ.
Мнения экспертов
Алексей Лукацкий,
эксперт по ИБ, участник рабочей группы ЦБ РФ и АРБ по гармонизации законодательства персональных данных
Еще две недели назад, и в рабочей группе Центробанка и АРБ, куда я вхожу, и на различных внутренних мероприятиях, на которых обсуждались поправки в законопроект, была достигнута договоренность, согласно которой в статье 19, описывающей именно за защиту ПД, будет сделан акцент на возможность принятия отраслевых стандартов, которые будут в уведомительном порядке отсылаться во ФСЭК и ФСБ, а дальше применяться в отрасли. Разумеется, Центробанкк и АРБ предполагали, что в качестве такого стандарта будет принят СТО БР ИББС-2010, тем более, что он согласован с регуляторами, и что этот стандарт будет применяться всеми банками для защиты и ПД, и банковской тайны, и других видов конфиденциальной информации. Однако полторы недели назад в спешном порядке текст законопроекта, согласованный ко второму чтению, был удален с сайта Госдумы, а на его место был помещен другой законопроект, где статья 19 претерпела коренные изменения, и теперь там указано, что все требования по защите ПД и модель угроз разрабатывают только ФСТЭК и ФСБ. Отраслевые регуляторы, в числе которых ЦБ, имеют возможность только расширить сформированную модель угроз. Они не имеют права разрабатывать свои перечни мер по защите ПД. В итоге существенно ужесточились требования по защите ПД. Отраслевые стандарты теперь находятся как бы вне закона. И что делать тем банкам, которые уже потратили не один миллион на приведение своих систем в соответствие требованиям стандарта, не понятно. Кстати, по закону о Национальной платежной системе Центробанк становится регулятором в области ИБ, и банки должны следовать требованиям его стандарта, а у нормативных документов ФСТЭК и ФСБ совершенно другие требования. Получается, что банки должны соответствовать и тем, и другим. А еще несколько недель назад на парламентских слушаниях обсуждалось, что если одна и та же информация относится к различным видам тайн (например, к ПД, банковской тайне и коммерческой тайне), то она должна защищаться в рамках одного нормативного документа. Для банков это был стандарт Центробанка. А сейчас получается, что от этой позиции регуляторы отказываются, и заставляют банки применять сразу несколько нормативных документов. В них более жесткие требования. Нужно использовать только сертифицированные средства защиты, которых иногда просто нет, и не всегда возможно их сертифицировать. Требуется получения лицензий на деятельность в области защиты информации. По требованиям регуляторов обязательна аттестация систем, в то время как стандарт Центробанка этого не требует. И так далее. В итоге затраты банков на обеспечение ИБ возрастут в несколько раз. Еще три года назад Центробанк подсчитал, что если раньше среднестатистический банк тратил на безопасность в среднем примерно 12 млн рублей, то для соответствия требованиям нормативных документов регуляторов он должен тратить 50–60 млн рублей, то есть рост затрат примерно пятикратный. Для соответствия стандарту Центробанка требовалась меньшая сумма, и ее можно было тратить не единовременно, а в течение нескольких лет. Если закон вступит в силу, эти средства нужно потратить уже сейчас, поскольку по требованиям все системы надо было привести в соответствие еще до 1 июля.
Что касается ответственности за нарушение правил защиты информации, в этой статье есть несколько пунктов, согласно которым может быть наложен штраф, конфискованы не сертифицированные средства защиты, приостановлена деятельность организации. А если учесть, что деятельность по защите данных, согласно требованиям регуляторов, должна быть лицензируемой, то отсутствие лицензии — это 171 статья УК — незаконное предпринимательство. За это ответственность гораздо больше — вплоть до уголовной. Такие прецеденты уже есть, ФСБ инициировала ряд дел против банков из-за отсутствия лицензии на деятельность в области шифрования.
Но закон все-таки еще не подписан президентом России, и мы надеемся нашим письмом этого не допустить. Стоит отметить, что есть и положительные моменты. С точки зрения защиты прав субъекта появлились некоторые облегчения — в части получения согласия на обработку ПД, уведомления субъекта и так далее.
Александр Токаренко,
Председатель Правления НП ДАТУМ
Поправки в 19 статью ЗоПД (закона о персональных данных) практически отменяют всю работу, проведенную ЦБ РФ, АРБ и АРБР по разработке и внедрению комплекса СТО БР ИББС-2010. Все изменения текущей редакции сводятся к тому, что самые спорные пункты, существовавшие в подзаконных актах регуляторов, теперь перешли на уровень закона.
К сожалению, так и не решенным остался вопрос, как банкам и другим операторам вместо защиты от регулятора заниматься реальной информационной безопасностью. Сейчас мы получили продажу индульгенций в виде закупки сертифицированных средств защиты информации (которые вообще не работают по основному каналу утечки инсайдерским рискам) вместо ответственности перед субъектом за утечку и разглашение персональных данных.
Евгений Царев,
заместитель директора департамента развития LETA IT
В законе после принятия поправок указано, что требования может устанавливать Банк России. Но целый ряд положений можно трактовать двояко. Непонятно, как будут выстраиваться отношения Центробанка с другими регуляторами — ФСЭК и ФСБ. На мой взгляд, банковская сфера — наиболее зрелая в области информационной безопасности, и стандарт Центробанка в любом случае останется базой для организации ИБ банков в целом, и безопасности персональных данных в частности. Тем более, что часть, посвященная ПД в нем очень жесткая. Я считаю, что банкам обязательно нужно принимать этот стандарт. Примерно 70% банков уже это сделали. Что касается оставшихся 30%, то они сомневаются, потому что им придется усиливать меры по организации ИБ в целом, а не только по защите ПД. Но в стратегическом плане стандарт Центробанка принимать выгоднее, поскольку в нем нет жестких сроков приведения информационных систем в соответствие требованиям. Важна динамика организации ИБ, а план каждый банк может определить самостоятельно. Это демократичная позиция, и для большинства банков она должна быть приемлемой.
